我管理我的 Azure Active Directory - MyProjectAAD。我已将外部用户添加为来自另一个 Azure Active Directory - MyCompanyAAD 的来宾
当 user@MyCompanyAAD.com 想要登录在MyCompanyAAD中注册的应用程序时,将强制执行两因素身份验证。注意:用户被重定向到自定义企业登录页面和自定义二次验证页面
但是,当相同的用户想要登录到应用程序时,即在他是访客的MyProjectAAD中注册的应用程序,不强制执行两因素身份验证,我想强制执行它。用户仅被重定向到与前一种情况相同的自定义企业登录,但没有第二因素身份验证页面
如何为 Azure Active Directory 中的来宾用户启用两因素身份验证?
您可以使用 Azure 条件访问来实现这一点。
注意:此功能需要 AAD Premium 才能为您的方案创建您自己的策略。
1.创建“外部用户”帐户的动态访问组
登录到 AzureAD 门户,导航到 Azure Active Directory -> 用户和组 -> 所有组,然后单击新建组
为您的组提供一个友好的名称、描述,然后选择动态用户的成员资格类型。如果您没有看到此成员资格类型,则可能是您的订阅中没有 AzureAD Premium 许可证。(请参阅下面的许可要求)
选择添加动态查询,并创建一个简单规则,您可以在其中添加用户类型等于访客的用户
单击添加查询 -> 创建以创建动态组
注意:填充组需要一些时间。
2. 为特定企业应用程序创建条件访问策略。
- 登录 AzureAD 门户,然后导航到企业应用程序 > 选择特定应用程序 > 条件访问以显示所有条件访问策略,然后单击新策略
- 在新建边栏选项卡的名称文本框中,键入策略的友好名称
- 在用户和组边栏选项卡上,选择包括 -> 选择用户和组 -> 选择
- 搜索您在上一步中创建的外部用户组并选择该组
- 在条件边栏选项卡上,选择位置。为配置选择是。包括任何位置。
- 通过选择完成按钮应用这些
- 在 Grant Blade 上,选择 Grant Access 和 Require Multi-Factor Authentication。单击选择以应用授予限制。-最后,将启用策略按钮切换到开,然后创建策略
这是Kevin Kirkpatrick 撰写的博客,您可以参考它来为特定应用程序上的外部用户实施多因素身份验证。